La seconde journée Hackito Ergo Sum comptait également son lot de présentations de haut vol, et débutait avec une signée Laurent Ghigonis et Philippe Langlois, P1 Security, les organisateurs de HES. L’an passé, le protocole SS7 et ses vulnérabilités avait soulevé pas mal d’interrogations sur la prétendue inviolabilité des réseaux d’opérateurs télécom, cette année, le dévolu des deux chercheurs a été jeté sur les réseaux mobiles LTE, et plus particulièrement sur les DRA, Diameter Routing Agents et de son protocole d’authentification associé. Une fois cette sécurité contournée, le réseau interne de l’opérateur est accessible, avec les conséquences que l’on peut imaginer. Mais le plus inquiétant, explique Philippe Langlois, c’est qu’un opérateur scrupuleux qui aurait tout mis en œuvre pour contrer ce type de menaces n’est pas à l’abri d’une attaque puisque l’adversaire peut fort bien exploiter la fragilité des infrastructures d’un tout autre opérateur pour, une fois dans la place, profiter à la fois de l’authentification octroyée par ce « maillon faible » et des « tuyaux » reliant les entreprises télécom entre elles.
Lukasz Siewierski, quant à lui, s’est penché sur les malwares Android qui « n’intéressent strictement personne car ils n’ont rien à voir avec les vecteurs d’attaque en code natif que l’on rencontre sur le créneau de l’informatique classique ». Pourtant, ces malwares font preuve d’un comportement général proche des virus classiques : un « loader », ou plus exactement une DLL qui attend les ordres émis depuis l’extérieur via un SMS (à l’instar de tout C&C en train de piloter un bot). Ainsi, lorsque la DLL recevait le caractère « / », certains malwares bancaires se mettaient à intercepter les « mots de passe unique » (OTP) expédiés par l’intermédiaire d’un SMS, message réexpédié à destination du « bot herder » qui s’empressera bien entendu de l’utiliser pour son plus grand bénéfice. Pour éviter tout soupçon, une fois son forfait accompli, le pilote du réseau de téléphones compromis peut même expédier un « ! » au terminal zombifié pour que s’efface toute trace du code indésirable. Ce genre de virus s’est répandu assez rapidement en Pologne notamment, jusqu’à ce que l’analyse du malware révèle le secret de ses commandes cachées. A partir de ce jour, les SMS expédiant les codes de « second facteur » émis par les banques locales ont tous débuté par un expéditif « ! »
Hackito 2015 s’est achevé avec la remise d’un prix Intel qui (c’est une presque tradition désormais) profite de ce genre de manifestation pour promouvoir ses plateformes de développement. Cette fois, c’était l’Edison qui était à l’honneur, le vecteur « IoT » du constructeur.
La seconde journée de la conférence HES était, en partie, destinée à un public un peu moins technique, grâce à trois présentations plus « humaines ». C’est Alex Triffault qui ouvrait le bal, en détaillant par le menu le travail d’un expert en recherches de preuves spécialisé dans le crochetage de serrures. Si, par tradition, chaque conférence sécurité possède qui son atelier, qui sa présentation traitant de l’art de savoir tutoyer les verrous, loquets et autres cadenas, il faut savoir, explique Triffault, que chacune des méthodes préconisées par les chatouilleurs de pistons et des cylindres laissent de légères griffures ou tonches indélébiles sur le métal des serrures. D’autant plus indélébiles que biens souvent les outils de crochetage sont en acier et le mécanisme des cadenas en laiton, plus tendre. D’un coup de binoculaire, l’expert relève immédiatement la signature de l’effraction, le type d’outil employé, et indirectement le degré d’expérience de l’adversaire. Parapluie ou crochet, vibreur ou « bumper », la marque de l’intrus est enregistrée et ce témoignage peut être versé dans les éléments de preuves au cours d’une enquête de police.
Venait ensuite l’une des présentations les plus attendues, celle de Raul « Nobody » Chiesa sur la sécurité des aéroports. Allait-on apprendre la présence de nouvelles failles spécifiques ? Qui donc, après une telle causerie, oserait encore monter dans un avion ? En fait de conférence, Chiesa a relaté les résultats d’un audit de sécurité et d’une campagne de pentesting effectués « intra » et « extra » muros d’un aéroport, campagne qui a révélé… ce dont tout le monde se doutait depuis longtemps : failles de sécurité dans les infrastructures WiFi destinées au public mais révélant des porosités avec le LAN interne, certificats dépassés ou dangereux, bug SSL, trous RDP Windows, avalanches de configuration et de mots de passe par défaut… il n’y a guère de différence avec ce que l’on a coutume de rencontrer en entreprises, que celles-ci appartiennent au cercle restreint des OIV ou non.
Bien sûr, à partir de certaines de ces failles, outre une attaque en chiffrement sauce Cryptolocker ou un déni de service généralisé, l’on pourrait imaginer quelques forgeries d’identités capables de faire passer un dangereux terroriste pour un innocent quidam, quand bien serait-il inscrit sur une « no flight list ». Bien sûr aussi peut-on craindre des fuites de données personnelles ou bancaires. Mais peut-on imaginer un péril frappant le moyen de transport lui-même ? Sur ce point, Raul Chiesa se contente de reprendre (tout en émettant des doutes légitimes) les affirmations de Chris Roberts, et tente de classer au rang des vulnérabilités les échanges en clair des transmissions ADSB et Acars. C’est, doit-on rappeler, également le cas des communications en modulation d’amplitude des aéronefs entre eux, mais également entre les aéronefs et la tour de contrôle, sans oublier les communications « au sol », que l’échange concerne un A380 ou le plus humble des « tagazous » monomoteurs. La verve transalpine pousse parfois le bouchon un peu loin.
Reste que l’avertissement de Chiesa mérite toute l’attention des sociétés de gestion aéroportuaires. Fin septembre, un groupe Anonymous s’en était pris aux systèmes de Saudi Airline. Au début de cette année, c’était Malaisia Airline qui avait fait les frais d’une opération-éclair orchestrée par le Lizard Squad, et en juin, c’était au tour de LOT, la compagnie nationale Polonaise, ainsi qu’une partie de l’aéroport Chopin de Varsovie, de succomber à une attaque informatique, causant l’annulation d’une dizaine de vols et un retard considérable dans le trafic national et international. Les compagnies aériennes ont, de tous temps, fait l’objet de menaces, car elles représentent leur pays d’origine. Les alertes à la bombe (et attentats réels) qui ont régulièrement frappé les agences d’Aeroflot ou de Turkish Airline prouvent à quel point ce risque a toujours été présent.
On peut presque regretter que l’équipe Chiesa se soit limitée à un pentesting réseau purement informatique. La périmétrie radio (télémétrie, services au sol, radars, systèmes de guidage et d’approche) de ce genre d’infrastructure est encore plus complexe et, par certains aspects, plus fragile compte tenu de l’évolution des techniques d’émission-réception depuis ces 20 dernières années. D’un point de vue purement binaire, la sécurité informatique des aéroports est préoccupante.
Ajoutons à la liste des hacks « compréhensibles par tous » la présentation (en anglais) d’un jeune homme de 13 ans « perceur de coffre-fort », et accessoirement fils d’un spécialiste de la sécurité des systèmes bancaires… la pomme ne tombe jamais très près de l’arbre. Le challenge n’était pas évident : comment récupérer un téléphone portable ou une console de jeu confisquée par d’indignes parents et enfermés à double tour dans un coffre-fort à clavier ? La réponse est presque trop simple : en installant discrètement une petite caméra dans l’axe du clavier en question et en attendant qu’un des parents y accède, révélant ainsi la combinaison. Et c’est sous un tonnerre d’applaudissement et l’œil ému de son père que le jeune orateur terminait son « lightning talk », en affirmant haut et fort « I’m a hacker, not a thief ».
La sixième édition de la conférence Parisienne Hakito Ergo Sum s’est déroulée fin octobre, tout comme l’an passé dans un amphithéâtre de la Cité des Sciences de La Vilette. Quelques jours après Hack.Lu, quelques jours avant GreHack, il en faut, de l’endurance, pour suivre l’actualité InfoSec Européenne. HES, cette année, faisait essentiellement se succéder des chercheurs du domaine « pure software » et « infrastructure ». Le domaine des ondes radio ou des vulnérabilités matérielles n’était cette fois présent qu’en filigrane.
Et c’est le célèbre « FX » qui a ouvert le feu, avec une conférence plénière très « plénière », c’est-à-dire non technique, divertissante et instructive pour ceux qui avaient quelque peu oubliés leurs cours de génétique. Le chef de file du groupe Phenoelit, assisté d’une authentique biologiste, établissait parallèles et analogie entre le monde du hacking et le fonctionnement du noyau cellulaire.
A peine le temps de se remettre de ce changement d’univers que Camille Mougey et Xavier Martin, du CEA plongeaient l’assistance dans le labyrinthe parfois très ténébreux du machine learning appliqué à la recherche massive d’indice. La cible choisie pour les besoins de la démonstration était un vieux routier des vulnérabilités Scada, le protocole de contrôle de processus industriel Modbus et ses points d’entrée visibles sur Internet. Zmap, MassScan facilitent la collecte de ce genre de « Google hacking » dopé aux stéroïdes. Mais il en faut plus pour que cette collecte soit exploitable. Notamment être capable de filtrer les résultats par pays, par densité des réponses, par indice de plausibilité également, car il existe « aussi » des honeypots chargés de détecter des chasseurs de ports Modbus. Les représentations en nuages de points « 3D » générées par le moteur d’analyse des deux chercheurs parviennent alors à raconter des choses insoupçonnées, à isoler les « faux » sites, à mettre en exergue les installations les plus vulnérables ou les plus importantes, classées par emplacements géographiques. Le Machine Learning appliqué au scan réseaux massif pourrait bien devenir le cauchemar des OIV, la terreur des zones classées Seveso. Il y a un an environ, il n’était de meilleurs articles alarmistes que ceux traitant de Shodan, la très imparfaite base de données IoT mondiale. Que l’on attende encore quelques années le temps que l’Internet des Objets et ses vulnérabilités se développent réellement, et l’on pourra alors craindre le numéro de duettistes d’un super-Shodan et d’un moteur d’analyse « big data » offensif tel que celui présenté par Mougey Martin.
Olivier Levillain et Pierre Chifflier (Anssi) ont enchaîné dans les méandres des incohérences intrinsèques aux langages. Opérations arithmétiques ou logiques aux résultats défiant la raison, égalités qui ne sont plus égales, additions aux résultats incohérents, les deux chercheurs ont passé au crible Java et Javascript, PHP, Python, Ruby… Ce genre de présentation rappelle les travaux de plusieurs chercheurs du MIT qui, en 2013, s’étaient penchés sur les résultats surprenants d’un source passé à la moulinette de certains compilateurs (Python, C++…).
S’il est difficile de voir en ces défauts un risque d’exploitation direct, c’est, à n’en pas douter, un vecteur certain de bugs fonctionnels généralement inexplicables. L’on remarquera au passage qu’après la présentation très médiatisée de deux autres chercheurs de l’Anssi à l’occasion de Hack in Paris, c’est la seconde fois que l’Anssi expose ses talents et son savoir-faire durant une conférence sécurité parisienne. Il est important qu’une institution gouvernementale vienne apporter tout son crédit à des « conférences de hackers ».
Une conférence sécurité sans ses « short tracks » est un peu comme un repas sans dessert. Les recherches qui y sont généralement présentées n’ont certes pas la consistance d’un plat de résistance d’une heure d’explications techniques, mais leur brièveté, leur légèreté (et l’humour de certains intervenants) les rendent considérablement plus digestes.
Ainsi Eric Leblond (Regit), a rapidement parlé des performances de Coccigrep, un grep sémantique dérivé de Coccinelle, capable, par exemple, d’effectuer des séries de recherches-remplacements d’expressions en langage C (et non seulement de chaines de caractères) sur une multitude de fichiers. Ses écrans de présentation sont à télécharger sur son site. Jamais l’on n’aurait pu penser qu’un outil aussi puissant et pratique puisse être disponible.
Laurent Penou (Lyra Network) est plutôt connu dans le petit monde infosec pour parler très sérieusement et très techniquement des questions d’intégration de la sécurité dans les systèmes de payement par carte. Mais cette année, son intervention fut aussi humoristique que critique, et abordait les hiatus constatés lors de l’utilisation de cartes de payement à usage unique et valeur d’achat plafonnée. Présentées par les organismes bancaires comme la réponse absolue à toutes les possibilités de fraude durant un achat en ligne, il apparaît que les transactions ainsi faites ne sont ni exemptes de fuites d’information, ni très strictes en matière de confidentialité des procédures d’autorisation de payement. Quant aux mécanismes d’autorisation (contrôles de plafond de carte) ou vérification du pays d’origine, ils sont pratiqués souvent avec une certaine fantaisie qui, parfois, provoque des refus bancaires totalement inattendus.
En fin de conférence deux « mini-interventions » ont parfaitement illustré les propos du « keynote speaker » Edmond Rogers sur les limites des protections numériques comparées aux limites des sécurités physiques. L’une décrivait une récente attaque visant des distributeurs automatiques de billets (DAB), dont le système a pu être « rooté » en exploitant un défaut de sécurité physique et un accès non prévu au port USB de l’imprimante intégrée audit distributeur. Lequel port permettait à son tour tout type d’injection dans le noyau du système DAB, généralement un Windows XP. La faille exploitée offrait aux intrus la possibilité de vider totalement la réserve de billets contenue dans le DAB. L’enquête de police étant toujours en cours, il est délicat d’en dire plus long.
Un autre « ligtning talk », bien plus hilarant (et tout aussi anonyme), montrait comment accéder au système d’un de ces terminaux publics installés dans certaines boutiques de distribution de nourriture aussi peu gastronomique que rapide à ingurgiter. Une fois de plus, un excès de confiance dans l’usage de commandes cachées et dans l’aspect « inviolable » de la configuration matérielle a endormi la vigilance des responsables sécurité desdites chaînes d’alimentation industrielles. Junk food, junk security.
Si les grandes infrastructures ont franchement marqué la dernière édition de HES, nombreux étaient aussi les orateurs versés dans les recherches purement mathématiques frisant le travail universitaire, les descriptions de classiques attaques de réseaux en mode distant ou les analyses et audits de procédés et outils que l’on croyait (jusqu’à présent) dignes de confiance. Bref, du très classique dans ce genre de manifestation. Mais du classique qui n’est plus présenté avec le moindre accent de geekitude ou de colloration « fun and profit ». La sécurité post-snowden n’est plus « aussi » un jeu intellectuel, c’est une discipline qui doit faire preuve de sérieux, car perçue comme vaine par un public qui se sent chaque jour de plus en plus berné en se rappelant les discours rassurants d’antan. Lorsqu’une faille Heartbleed est ouvertement reconnue par les services de renseignement US comme connue de longue date et intégrée à des outils d’espionnage, comment ne pas se demander « comment une telle affaire a pu demeurer aussi longtemps dans l’ombre ? ». C’est donc un Back to Basic généralisé, comme l’on se plaît à dire dans ce patois fort prisé des X-Telecom-Minards.
Tester ce qui existe, éprouver les socles sécurisés de notre quotidien. Cela commence avec l’organisation d’un génocide visant à éliminer tous les bugs pouvant provoquer un buffer overflow. Une analyse aussi ardue que passionnante conduite par Andreas Bogk. Entre ce que programme un homme de l’art et ce que comprend et interprète (au sens « humain » du terme) un compilateur, il y a parfois des différences qui deviennent des failles conséquentes. Une promenade torride entre pointeurs et déclarations, dans un univers très FreeBSD.
Qui testera les testeurs eux-mêmes ? demande Andrei Dumitrescu, qui dissertait sur le thème « Shell WMI (Windows Management Instrumentation), une nouvelle façon d’accéder au mode commande en exploitant ce service ». L’on pense trop souvent que WMI est limité aux classiques accès « non routables » des ports NetBeui (445), à condition en outre de bénéficier d’un accès autorisé en partage de fichier. A l’aide d’un script shell, l’équipe de Lexsi est parvenu à exécuter des ordres et récupérer les ressorties du programme (via vmic), le tout exécuté sans l’aide de SMB, et, de surcroît, via le port 135. Quelques astuces, telles que l’usage de variables d’environnement « hors norme », permet de contourner certaines limitations de longueur de chaîne de caractère.
Analyse et audit des outils de confiance, encore et toujours, avec une savante intervention de Graham Steel sur les « hardware security module » que l’on rencontre notamment dans les infrastructures des distributeurs automatiques de billets (DAB). Ces HSM, seuls espaces où le code pin est susceptible d’exister à l’état déchiffré, sont des électroniques hautement sécurisées, physiquement protégées, capables de se saborder dès que l’intégrité du blindage les protégeant est compromise. La surface d’attaque est donc très réduite, se limitant aux API devant interfacer ces fameux HSM. Une démonstration mathématique relativement complexe qui passionnera certainement les cryptoanalystes du domaine bancaire mais laissera de glace encore quelques années les gourous du skimming.
Analyse et audit encore, mais cette fois des plateformes administratives capables, au Chili notamment, mais également dans d’autres pays d’Amérique du Sud, de délivrer certains documents d’Etat Civil. Jose Garduno, à force de recoupements, déductions logiques et bases de données administratives, montre à quel point le vol d’identité peut devenir un véritable sport national tant sont fragiles les garde-fous numériques qui protègent les citoyens. Nom, prénom, filiation, adresse, déclarations fiscales, plans de retraite, date de naissance, adresse email, salaire, montant des valeurs patrimoniales etc. Le Chili, c’est le Pérou pour les voleurs de données personnelles possédant un ordinateur, un accès internet et deux sous de jugeote
Parallèlement à Hackito Ergo Sum se déroulait le Hackerspace Fest, seconde édition, un patchwork de démonstrations techniques excessivement variées, allant de l’interface ECG au capteur de pression résistif, en passant par quelques expériences de biohacking ou la supervision électronique d’une antique machine à tricoter reconvertie en métier à tisser des matières « hackeusement hackables » dans la trame du tissus (fil conducteur, fibres optiques etc.).
Ces différentes présentations de travaux réalisées par les membres du tmp/lab ou du Loop étaient émaillées de conférences techniques, tantôt relatives aux travaux exposés, tantôt sur un sujet plus ou moins « tendance ». Ce fut le cas de l’atelier tenu par le chercheur Renaud Lifchitz (Oppida), sur un thème déjà abordé durant les JSSI, journées de la sécurité de l’Ossir : L’environnement radio de plus en plus difficile à protéger .
Depuis ces dernières années, les techniques « sans fil » ont connu un essor comparable à celui que connu Internet dans les années 90 : de médium réservé à un cénacle de professionnels et ne considérant le grand public que sous la forme d’un ensemble protoplasmique de consommateurs passifs de contenu généraliste. Le broadcast n’est pas encore mort, mais l’usager s’est transformé en générateur de contenu. Parfois d’ailleurs à son corps défendant. GSM, RFID, GPS, DECT, cartes d’abonnement à certains services de transport (Vélib, Navigo…), sans oublier les multiples « objets de l’Internet », miraculeuse marotte des politiques et des industriels en mal de débouchés.
Las, pourrait-on dire, si les usages ont évolué, les techniques du sans-fil ont, elles aussi, fortement évolué, particulièrement depuis la généralisation des radios logicielles (SDR, Software Defined Radio) dans le domaine général. Longtemps demeurées dans l’ombre des développements militaires et étatiques, les radio logicielles sont à l’émission-réception ce qu’étaient les « Win-modems » ou Softmodems à la fin des années 80 : des interfaces simplifiées à l’extrême, sans aucune intelligence, sans aucun traitement de signal local, confiant au processeur d’un ordinateur ce qu’aurait traditionnellement effectué un démodulateur « old school » ou un processeur de signaux (DSP). La radio logicielle, c’est exactement la même chose. Une interface simple, une démodulation ne dépendant que d’une partie « soft », généralement rapidement développée. Finis les récepteurs et émetteurs dédiés en modulation d’amplitude ou de fréquence, spécialisés dans la transmission d’images (télévision) ou de signaux numériques complexes. Désormais, une même interface peut, par simple changement de décodeur logiciel, se transformer en émetteur-récepteur télex, fax, FM, télévision, PM, AFSK, QPSK et ainsi de suite.
On comprend aisément l’engouement qui s’en est suivi. Avec de telles techniques, transformer un composant isolé et autonome en composant communiquant ne coûte plus une fortune (les interfaces SDR peuvent se limiter parfois à moins de 10 composants simples). Les marchands d’objets connectés se ruent, sans la moindre réflexion sécuritaire, sur ce pactole reposant souvent sur des besoins totalement artificiels, dont l’espérance de marges bénéficiaires est parfois inversement proportionnelle à l’espérance de durée de vie. Et qui dit marges importantes pense sacrifices techniques et compromis de développement. Les mêmes erreurs commises lors de l’essor du Web sont commises.
Car s’il devait maîtriser un savoir certain et des équipements spécifiques pour réaliser une attaque MIM sur une liaison modem dans les années 80, le hacker moderne n’a généralement besoin aujourd’hui que d’une bonne connaissance de Python et de la pratique de GnuRadio. Le prix des interfaces permettant les attaques radio, même les plus complexes, oscillent entre 8 euros (pour un simple outil d’audit large bande) à 2000 euros pour un système complet d’attaque capable de conduire une compromission en « evil twin » ou susceptible de détourner des informations. Un DDC/DUC capable de traiter 40 Megasamples par seconde et reposant sur un fpga ne coûte pas plus de 130 euros de nos jours. La majorité des systèmes les plus efficaces se trouvent dans la fourchette 150/250 euros et s’avèrent assez sensibles, assez sélectifs et assez puissants pour conduire un assaut numérique à plus de 50 kilomètres de la victime (ce paramètre dépend énormément de la fréquence utilisée). Il ne se passe plus un mois sans que l’on puisse découvrir, qui sur GitHub, qui sur GoogleCode, un nouveau développement lié aux SDR.
A ceci doit s’ajouter un autre point important. Le passage des techniques câblées aux techniques sans fil transforme des échanges autrefois quasiment invulnérables (en raison de l’obligation d’une intervention physique sur un médium parfois très protégé) en liaison tellement facile à perturber (donc à interrompre) qu’un enfant de 12 ans pourrait en être l’auteur. Or, détenir le moyen de contrôler l’accès à une richesse, que cette richesse soir des données, du gaz ou du pétrole, c’est quasiment détenir la richesse elle-même.
En outre, précise Renaud Lifchitz, les couches de sécurité que l’on colle sur les protocoles de transmission sans fil sont généralement issues du monde câblé, sans une trop grande adaptation. Pis encore, l’instabilité potentielle des liaisons radio, les perturbations probables contraignent certains OEM à dégrader les niveaux de sécurité, favorisant notamment les « replay attacks ». De la porte de garage à la demande d’allocation de canal GSM, les scénarii ne manquent pas.
«La sécurité by design n’existe pas, ou très peu, dès que l’on aborde le domaine radio, explique Renaud Lifchitz. Absence de chiffrement, d’authentification, de signature, de mécanismes anti-rejeu ou anti-brouillage (par agilité de fréquence par exemple), faible résistance au fuzzing, protocoles conçus sans prise en compte de certaines règles élémentaires de sécurité, sans oublier le fait que beaucoup succombent à la pression du time to market. Les acteurs du secteur sans-fil doivent faire des progrès, les recettes existent et son connues. »
En attendant ce jour béni où les boutiquiers de l’Internet des objets comprendront que la sécurité est synonyme de confiance, donc de développement du marché, les informations continueront à s’échapper des « tuyaux » d’opérateurs, les identités numériques risqueront de se faire piller et usurper, les contenus seront dupliqués et les outils de contrôle d’accès n’offriront qu’une illusion de protection.
C’est Laurent Ghigonis, de P1 Security, qui a ouvert le feu en s’en prenant aux serveurs d’opérateurs de téléphonie mobile : Home Location Register (HLR) et Home Subscriber Server (HSS). HLR est utilisé dans la totalité des réseaux 2G (qui sont déployés sur la totalité du territoire européen) alors que HSS est utilisé dans les infrastructures 3 et 4G. Sur ces serveurs se trouvent stockés, pour chaque appelant, ses identifiants IMSI, ses clefs de chiffrement, sa position géographique par triangulation de cellule et les « options » d’abonnements propres à leur carte SIM. Si une attaque parvient donc à impacter ces machines, il n’est pas difficile de deviner les conséquences : le réseau tout entier tombe. Après analyse des serveurs en question (des VM Oracle exécutant un noyau « unix like » standard), l’équipe de P1 Security a commencé à collecter un nombre impressionnant de failles, certaines d’entre elles faisant partie des « grands classiques » du genre, notamment des élévations de privilège assez simples, d’autres étant plus spécifiques (fuzzing de la couche SS7, protocole de signalisation téléphonique). Et c’est précisément en expédiant deux paquets SS7 forgés (les MSU, (Message Signal Unit)) que Laurent Ghigonis est parvenu à faire tomber le HLR durant deux minutes entières, deux minutes durant lesquelles aucun abonné, sur l’ensemble du territoire, ne peut recevoir le moindre appel. En injectant ces deux « MSU of death » toutes les deux minutes, le réseau d’opérateur est bloqué en permanence.
Qui peut expédier de tels paquets forgés ? Une machine intruse branchée dans le système de l’opérateur… ou une infrastructure tierce connectée directement à cet opérateur.
Et ce n’est là qu’un aspect des recherches de l’équipe Ghigonis. D’autres protocoles se sont avérés presque aussi destructeurs. Ainsi MAP (Mobile Application Part, une couche applicative SS7) qui, toujours à l’aide de paquets forgés, peut faire tomber un réseau avec l’envoi de moins de 5 MSU par seconde (avec seulement un MSU par seconde, le HLR ne répond plus à plus de la moitié des requêtes MAP, rendant le réseau difficilement utilisable). « Et n’allez pas croire que la redondance des équipements permet d’éviter ou de minimiser quoi que ce soit : même attaque, même crash sur la totalité des front-end de même type. Il suffit d’émettre autant de messages qu’il y a d’équipement ».
Les parades à de telles attaques existent. Encore faut-il les mettre en œuvre : segmenter les zones des systèmes d’exploitation utilisés par ces serveurs (essentiellement Solaris), auditer régulièrement l’infrastructure, inciter les fournisseurs à appliquer le plus rapidement possible les correctifs chaque fois qu’une faille est découverte, améliorer le contrôle et le filtrage du trafic entrant, mettre en œuvre systématiquement des mécanismes de renforcement de la sécurité système, pourtant classiques (ainsi ASLR), installer un firewall sur la machine elle-même pour bloquer des attaques « intra muros » aboutissant sur le réseau d’infrastructure par un moyen insoupçonné…
L’attaque des serveurs est trop complexe ? Cherchons un moyen plus direct et plus pratique, disent Hendrik Schmidt et Brian Butterly d’ERNW. Leur intervention, intitulée LTE vs Darwin. La norme LTE (Long Term Evolution) ne semble pas franchement suivre avec rigueur les principes du père de l’évolutionnisme et contient en son patrimoine génétique pas mal de défauts pouvant conduire à son extinction. Et l’une de ces vulnérabilités se trouve sur les toits d’immeubles, entre l’antenne et le boîtier 3G/4G qui, comme tous les équipements de ce type, disposent d’une prise Ethernet, porte ouverte au réseau amont de l’opérateur. Le « tout IP », si pratique si économique, peut parfois coûter cher. D’autant plus que de relativement monolithique, les ramifications des réseaux de téléphonie mobile se diversifient. Aux cellules traditionnelles se sont ajoutés des relais, des picocell, des femtocell, autant de points de vulnérabilité potentiels. Schmidt et Butterly avaient déjà présenté leurs travaux durant la dernière Schmoocon et leur intervention filmée. A récupérer dans les fichiers d’Archive.org.
Le troisième et dernier jour de la conférence donnait le coup de grâce à l’apparente invulnérabilité des réseaux d’opérateurs, avec une description détaillée, par Pierre-Olivier Vauboin et Alexandre De Oliveira (P1 Security), des protocoles utilisés lors de l’expédition d’un SMS et une description toute aussi précise des vulnérabilités prévisibles. A grand renfort de scan, les deux chercheurs ont montré comment cartographier un réseau SS7, suivre à la trace certains abonnés et leur expédier des SMS « spoofés » et autres avalanches de spam.
C’en est presque devenu une tradition pour HES, la responsabilité de la conférence d’ouverture a échu une fois de plus cette année à Edmond « bigezy » Rogers. Et une fois de plus, son discours utilisait comme toile de fond les hiatus et les trous (souvent béants) de sécurité rencontrés dans le secteur de la distribution d’énergie. Il faut, explique-t-il en substance, admettre que les défauts existent à tous les échelons, tant numériques que physiques. Pour quelle raison ces défauts de sécurité ne sont pas colmatés dès leur découverte ? L’an passé, Rogers avait abordé les problèmes d’économie d’échelle et les sommes colossales qu’entraînaient certaines mises à jour d’équipement. Mais aujourd’hui, il ajoute la part de réalisme cynique dont font preuve les directions générales. Les chantiers sécurité, explique-t-il, sont trop souvent réduits à un simple calcul de risque. Tant que le risque estimé est pondéralement inférieur aux coûts d’une modernisation, l’infrastructure demeure dans son état d’origine.
Il faut également savoir admettre, ajoute Rogers qu’il est impossible de viser un état de perfection en matière de gestion sécurisée des réseaux de communication ou d’automatisme au sein des infrastructures importantes, Scada ou autres. Et il est difficile de situer les limites de cette quête. « A mon avis, déclare Rogers, (et de montrer un grillage surmonté d’un boudin de chevaux-de-frise protégeant un centre de distribution électrique de la région de Chicago), la sécurité informatique doit être renforcée, mais pas au-delà ce que peuvent assurer les mesures de sécurité physique telles que celle-ci. Perfectionner les défenses numériques au-delà de ce point est inutile et n’est que la traduction d’une peur fantasmée, celle du script-kiddy qui, de sa chambre, peut atomiser l’alimentation en énergie de tout un pays. Il n’y a pas de raison qu’il puisse y avoir plus de risques liés à un accès direct que de dangers de voir se dérouler une intrusion réseau »
Bien entendu, il ne s’agit là que d’une formule, qu’il serait peut sage de suivre au pied de la lettre. « Security is a process » dit le mantra de la profession. Avec la popularisation de l’informatique personnelle, il y a dans la nature plus de personnes capables de pénétrer l’enceinte virtuelle du S.I. d’un centre de distribution en énergie que de gens assez qualifiés pour couper une ligne 400 kilovolts sans se faire réduire en cendres. Mais l’esprit est là : trop de sécurité informatique non seulement ne sert à rien passé un certain niveau d’investissement humain et financier, mais encore risque de procurer un sentiment de fausse sécurité en faisant oublier que le monde numérique n’est qu’un des aspects de la protection périmétrique.
C’est donc un HES très « OIV/Scada » qui s’est déroulé cette année, pratiquement un virage lof pour lof si l’on se rappelle de la coloration « hardware hack/Sploit SDR » de l’an passé. Les Snowden files ont modifié le paysage sécurité international, les Etats-Nation voient des ennemis (voire des terroristes) partout, les chercheurs en sécurité cherchent là où le vent des inquiétudes de leurs clients les portent, en priorité vers les « bijoux de la couronne » desdits Etats-Nation, les opérateurs d’importance vitale, les infrastructures Scada.
Dangereux complice d’Adam Laurie, chimiste à ses heures et Attila des circuits intégrés, Zac Franken se fait appeler « the Hardware Monkey ». Sa passion, la mise à nu des circuits intégrés, son but, la lecture « en binaire dans le texte » des ROM que l’on peut y trouver. « Plusieurs méthodes sont envisageables, pour parvenir à « lire » littéralement le silicium d’un circuit intégré. La première consiste à effectuer une attaque à l’acide nitrique (sous hotte aspirante et enceinte chimique protectrice. Il ne reste après opération que l’or des coutures électroniques (bonding) et le silicium nu. C’est très pratique lorsque l’on cherche à identifier un C.I. dont les références et marquages ne correspondent à rien de connu. La référence exacte du microcontrôleur mystère est toujours gravée sur le silicium, et il est rare, de nos jours de voir apparaître de véritables circuits « custom design » dans des productions grand public ». Le procédé est certes efficace mais comporte quelques risques. Zac « hardmonkey » Franken décrit avec minutie les différentes opérations de traitement sur son blog. «Ce qui est remarquable, c’est qu’un tel hack ne nécessite plus, comme on avait tendance à le croire, des salles blanches, des microscopes électroniques, des enceintes classe 1 et autres danseuses de laboratoire. Tout, du microscope optique à la hotte aspirante, en passant par les bouteilles d’acide ou les boîtes de Pétri, s’achètent sur eBay. Y compris, si l’on souhaite effectuer des analyses non destructives, les pellicules sensibles aux rayons X utilisées par les dentistes et qui permettent de découvrir tout ce qui est caché sous le capot de résine époxyde ».
L’attaque acide « brutale » est déjà de l’histoire ancienne pour Zac Franken. Il tente désormais de conserver les broches des circuits, afin de pouvoir examiner les circuits tout en pouvant les mettre sous tension. « Pour ce faire, j’ai mis au point une machine d’attaque par projection acide ponctuelle, capable de percer un tout petit trou dans ce coffre-fort à silicium ». Le hack, cette fois, dépasse le simple trempage, mais reste à la portée d’un hackerspace bien équipé. « C’est seulement à partir de cet instant que l’on peut espérer tirer des enseignements intéressants », continue Franken. Car si admirer la structure d’un processeur ou découvrir la référence exacte d’un circuit est parfois utile, il est encore plus avantageux de parvenir à « reverser » ce qui compte le plus, le firmware enregistré en ROM par le constructeur. Contrairement aux Eproms, EAroms et autres mémoires conditionnées par un état électrique, les ROM ont des états permanents physiquement différents selon que l’on a stocké un « 1 » ou un « 0 ». « Sur une macrophotographie de l’espace mémoire, ces « bits » apparaissent très clairement sous forme de points brillants ou de zones plus sombres » continue Franken. « Pourtant, le niveau de contraste n’est pas encore assez élevé pour que l’on puisse effectuer une lecture optique fiable pouvant déboucher sur un véritable désassemblage. Il faut encore lancer une attaque de surface, très légère ». Une attaque d’autant plus difficile à réaliser qu’elle doit éliminer une fine couche dans du silicium, un matériau résistant à pratiquement tous les acides. « Il n’existe qu’un seul acide capable de jouer ce rôle : le fluorhydrique, un produit d’une dangerosité extraordinaire, une véritable « pisse du diable » qui attaque le calcium des os ». Un acide qui se trouve également en vente sur eBay et qui demande de formidables précautions de manipulation, des gants de protection spéciaux… bref, une opération excessivement dangereuse qui ne doit être pratiquée que par des personnes compétentes et prudentes. Et c’est à ce stade qu’intervient le « software monkey », Adam Laurie, qui a développé Rompar, une suite de codes pythons destinés au traitement de l’image physique de la ROM. Rompar facilite le décodage ligne par ligne, colonne après colonne, du firmware ainsi mis à nu. Ce code open source ainsi que le désassembleur d’un des processeurs Atmel ayant servi pour l’expérience, peuvent être téléchargés sur le blog de l’auteur. Mais le plus passionnant reste malgré tout la description minutieuse de ce travail de fourmis, de ce décryptage (au sens archéologique du terme) auquel s’est livré Adam Laurie, macrophotographies à l’appui. Un remarquable travail de cryptanalyse digne du Scarabée d’Or d’Alan Poe, un techno-roman policier « hard science hardware » pour amoureux du fer à souder et inconditionnels du microscope.
Ce n’est pas la première fois que Cnis-mag rapporte les exploits de Michael Ossmann, père de HackRF, une carte d’émission-réception « radio logicielle » qui couvre des ondes courtes à 5,4 GHz. En juillet de l’an passé notamment, puis en novembre, lorsque le Darpa avait attribué une enveloppe de 200 000 dollars au chercheur. Et nous revenons une fois de plus sur le sujet puisque HackRF (alias Jawbreaker dans sa toute dernière version) était le sujet d’étude proposé lors du dernier Hackito Ergo Sum par deux personnes relativement bien connues dans le domaine des SDR : Benjamin Vernoux et Youssef Toul, ce dernier étant l’auteur de SDR Sharp, l’un des programmes sous Windows les plus utilisés par les hackers radio.
Il existe une grande différence entre lire la description d’un outil de hacking « sur le papier » et le voir à l’œuvre, lancer des « replay attack », intercepter des communications, esquisser les premiers pas d’une attaque MIM. La démonstration des deux chercheurs étaient édifiantes : il n’est plus nécessaire de dépenser 2 à 3000 $ pour « intruser » un réseau radio analogique ou numérique, il n’est plus obligatoire d’être un sorcier des ondes pour capturer une émission entre 100 MHz et 6 GHz (en dessous de 100 MHz, il existe d’autres solutions). Il n’est plus non plus nécessaire d’être millionnaire. Il n’y a pas 10 ans, ce genre de hack coûtait le prix d’une petite voiture de sport estampillée Rhodes & Schwartz ou Thomson CSF. Aujourd’hui, il suffit d’un circuit imprimé, d’un peu de calme pour souder quelques circuits QFN/QFPN et tssop, d’une ribambelle d’antennes (accordées) et si possible de quelques filtres, et l’on est équipé pour analyser cette couche de transport invisible et rapide comme la lumière.
lun | mar | mer | jeu | ven | sam | dim |
---|---|---|---|---|---|---|
« Déc | ||||||
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 |